第9章网络安全与网络管理技术.pptxVIP

吴功宜 编著;第9章 网络安全与网络管理技术;;知识点结构;本章学习要求: 了解：网络安全的重要性 掌握：密码体制的基本概念及应用 掌握：防火墙的基本概念 掌握：网络入侵检测与防攻击的基本概念与方法 掌握：网络文件备份与恢复的基本方法 了解：网络病毒防治的基本方法 了解：网络管理的基本概念与方法 ;9.1 网络安全的重要性与研究的主要问题; 有关统计资料报道：计算机犯罪案件正在以每年100%的速度增长，Internet被攻击的事件则以每年10倍的速度增长，美国金融界为此每年损失近百亿美元； 每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。 ;9.1.2 网络安全研究的主要问题 ;1.网络防攻击技术;网络防攻击研究需要解决的几个问题;2.网络安全漏洞与对策的研究;3.网络中的信息安全问题;4.防抵赖问题;5.网络内部安全防范;6.网络防病毒 ;7.无用信息邮件与灰色软件 ;8.网络数据备份与恢复、灾难恢复问题;《电子计算机系统安全规范》，1987年10月 《计算机软件保护条例》，1991年5月 《计算机软件著作权登记办法》，1992年4月 《中华人民共和国计算机信息与系统安全保护条例》，1994年2月 《计算机信息系统保密管理暂行规定》，1998年2月 《关于维护互联网安全决定》，全国人民代表大会常务委员会通过，2000年12月;可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）； 可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1； D级系统的安全要求最低，A1级系统的安全要求最高。 ;9.2 加密与认证技术 ;密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥； 传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制； 如果加密密钥和解密密钥不相同，则称为非对称密码体制； 密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系； 密码算法是相对稳定的。在这种意义上???可以把密码算法视为常量，而密钥则是一个变量； 在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。 ;什么是密码 ;密钥长度密钥长度与密钥个数 ;9.2.2 对称密钥（symmetric cryptography）密码体系 ;9.2.3 非对称密钥（asymmetric cryptography）密码体系 ;非对称加密的标准 ;9.2.4 数字信封技术 ;9.2.5 数字签名技术 ;9.2.6 身份认证技术的发展 ;本章学习要求: 了解：网络安全的重要性 掌握：密码体制的基本概念及应用 掌握：防火墙的基本概念 掌握：网络入侵检测与防攻击的基本概念与方法 掌握：网络文件备份与恢复的基本方法 了解：网络病毒防治的基本方法 了解：网络管理的基本概念与方法 ;知识点结构;9.3 防火墙技术 ;防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（security perimeter）； 构成防火墙系统的两个基本部件是包过滤路由器（packet filtering router）和应用级网关（application gateway）； 最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成； 由于组合方式有多种，因此防火墙系统的结构也有多种形式。;9.3.2 包过滤路由器 （路由器工作原理）;路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是： ? 源IP地址 ? 目的IP地址 ? 协议类型 ? IP选项内容 ? 源TCP端口号 ? 目的TCP端口号 ? TCP ACK标识 ;包过滤的工作流程;包过滤路由器配置的基本方法 ;假设网络安全策略规定： 内部网络的E-mail服务器（IP地址为192.1.6.2，TCP端口号为25）可以接收来自外部网络用户的所有电子邮件； 允许内部网络用户传送到与外部电子邮件服务器的电子邮件； 拒绝所有与外部网络中名字为TESTHOST主机的连接。 ;包过滤规则表 ;假定A管理一个公司网络222.22.0.0/16，且一般不允许来自公众网的用户访问内部网（见下表规则R3）。但是A正在与B及其同事